Apple пусна кръпка за своята слушалка за смесена реалност Vision Pro, след като изследователи показаха как атакуващ може да получи данни, въведени от потребителя, като проследява очите му.
Един от начините, по които потребителите на Vision Pro могат да пишат, е като използват виртуална клавиатура и гледат всеки от клавишите, които искат да натиснат.
Изследователи от Университета на Флорида и Тексаския технически университет демонстрираха метод за атака, наречен GAZEploit, който може да се използва за извеждане на информация за това, какво пише потребителят на Vision Pro, чрез проследяване на движението на очите на неговия аватар.
Аватарът, наречен от Apple Persona, е естествено представяне на лицето и движенията на ръцете на потребителя в средата на Vision Pro. Това е начинът, по който другите виждат потребителя по време на видеоразговори, срещи и предавания на живо.
Изследователите установиха, че анализът на движенията на очите на аватара, докато потребителят пише с поглед, може да се използва за възстановяване на клавишите, които той натиска на виртуалната клавиатура на Vision Pro.
Атаката GAZEploit е тествана върху данни, събрани от 30 лица, и изследователите са постигнали значителна точност за това кога потребителите са въвеждали съобщения, пароли, URL адреси, имейли и пароли (PIN кодове).
„По време на писане с поглед погледите на потребителите се преместват между клавишите и се фиксират върху клавиша, който трябва да бъде натиснат, което води до сакади, последвани от фиксации. Сакадите се отнасят до периода, в който потребителите бързо преместват погледа си от един обект на друг. Фиксациите се отнасят до периода, в който потребителите се взират в даден обект“, обясняват изследователите.
„Разработихме алгоритъм, който изчислява стабилността на следата на погледа и определя праг за класифициране на фиксациите от сакадите. Използваме точките за оценка на погледа в тези региони с висока стабилност като кандидати за кликване. Оценката на нашия набор от данни показва 85,9 % точност и 96,8 % повторение при идентифициране на натискания на клавиши в рамките на сесиите за писане.“ Apple заяви, че уязвимостта, която се проследява като CVE-2024-40865, е била отстранена с пускането на VisionOS 1.3. Консултацията по сигурността за VisionOS 1.3 беше публикувана в края на юли, но на 5 септември Apple я актуализира, за да включи CVE-2024-40865.
Apple се е справила с проблема, като е спряла Persona, когато виртуалната клавиатура е активна.
Това не е първият хак на Vision Pro. Неотдавна изследовател показа как нападателят е могъл да генерира произволни обекти в стая – по-специално прилепи и паяци – просто като накара потребителя да посети уебсайт.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.